安全使用第三方應(yīng)用須注意這四個問題

責(zé)任編輯:editor005

作者:趙長林

2015-01-22 14:18:30

摘自:51CTO

目前,對黑客而言,操作系統(tǒng)日益難以實施攻擊,這主要是由于廠商或開發(fā)者對有漏洞的代碼能夠更好更快地打補丁。殘酷的現(xiàn)實要求企業(yè)必須采取行之有效的措施來減輕第三方應(yīng)用帶來的風(fēng)險:首先要測試這些應(yīng)用。

目前,對黑客而言,操作系統(tǒng)日益難以實施攻擊,這主要是由于廠商或開發(fā)者對有漏洞的代碼能夠更好更快地打補丁。現(xiàn)在,第三方的應(yīng)用成為企業(yè)遭受損害的主要媒介。

安全使用第三方應(yīng)用須注意這四個問題

在運行第三方的軟件時,不管這些軟件是外包的、開源的,還是現(xiàn)成的商品化軟件,企業(yè)都必須保持警惕。根據(jù)以往的案例,大多數(shù)被利用的漏洞都屬于第三方軟件。調(diào)查顯示,運行在企業(yè)中的多數(shù)應(yīng)用程序都來自第三方,但很少有企業(yè)會去部署控制來評估這些應(yīng)用的安全性。

殘酷的現(xiàn)實要求企業(yè)必須采取行之有效的措施來減輕第三方應(yīng)用帶來的風(fēng)險:

首先要測試這些應(yīng)用。企業(yè)IT要制定標準,使第三方應(yīng)用既要滿足公司標準,同時又滿足合規(guī)需求。然后,再與合伙人和廠商合作測試這些應(yīng)用程序。有些權(quán)威評測機構(gòu)(如,中國信息安全測評中心、中國軟件評測中心)也可以評估、掃描和自動或手動測試這種代碼。

其次,使打補丁過程正式化。以前,不少企業(yè)非常重視給Windows等操作系統(tǒng)打補丁,對第三方應(yīng)用的安全檢查和安全補丁的重視程度卻遠遠不夠。如今,市場上有不少可以為第三方應(yīng)用集中地、自動地打補丁的工具,企業(yè)不妨利用這種工具使打補丁過程正式化,區(qū)分補丁的優(yōu)先次序,確保所有漏洞都能夠及時地得到修補。

第三,要問開發(fā)商。對第三方軟件的管理至關(guān)重要。企業(yè)IT可以就安全標準和測試問題來詢問第三方開發(fā)者。還要構(gòu)建一種成熟的策略,要求第三方開發(fā)者同意遵循企業(yè)的策略和指南。

第四,注意合規(guī)警告。有一些規(guī)范和行業(yè)要求(其中就包括大名鼎鼎的PCI DSS3.0)非常重視第三方的安全。這些規(guī)范和行業(yè)指南對企業(yè)如何安全地使用第三方應(yīng)用提出的建議和措施,值得企業(yè)去思考和實施。

企業(yè)使用的第三方應(yīng)用影響著企業(yè)的形象和品牌。如果攻擊者利用了某個第三方應(yīng)用的一個漏洞,攻擊了公司的服務(wù)器并竊取了敏感數(shù)據(jù),那么企業(yè)將會遭受由此帶來的高昂成本,其中包括嚴重的商譽損失。所以,企業(yè)在采用第三應(yīng)用時,必須高度關(guān)注安全問題。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號